| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:tcsfaq [2022/09/30 16:44] – [Nutzerzertifikate] Juergen Brauckmann | de:dfnpki:tcsfaq [2022/09/30 17:50] – [Serverzertifikate] Juergen Brauckmann |
|---|
| Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können. | Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können. |
| |
| Über ☰->Enrollment->Enrollment Forms und einen Klick auf den "Add"-Button muss ein Enrollment Endpoint vom Typ "SAML SSL self-enrollment form" angelegt werden. Die über diesen Enrollment Endpoint beantragbaren Zertifikatprofile müssen zugewiesen werden, typischer Weise "OV Multi-Domain" und ggf. weitere. | - Im SCM unter ☰->Enrollment->Enrollment Forms |
| | - das Enrollment Form mit dem Namen ''DFN-wide SSL SAML Web Form'' durch Blättern oder Filtern suchen und auswählen; |
| | - oben auf "Accounts" klicken. |
| | - Im daraufhin geöffneten Popup-Fenster über mit dem grünen "+"-Button einen neuen Enrollment-Form-Account hinzufügen. |
| | - Einen sprechenden Namen für den Account vergeben, der auf Ihre Einrichtung hindeutet. |
| | - Als "Organization" Ihre Einrichtung aus der Drop-Down-Liste auswählen (und ggf. auch ein Department setzen). |
| | - Bei den Zertifikatprofilen über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil auswhlen |
| | - meist "OV Multi-Domain" |
| | - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. |
| | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf. für einige Anwendungen inkompatible Schlüssel und ist nicht für Apache oder ninx geeignet. |
| | - "Automatically Approve Request" **nicht** anwählen |
| | - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen. |
| | - Dann den Button ''Edit'' anwählen |
| | - Hinzufügen von "schacHomeOrganization matches <xyz.de>", mit Plus und Save bestätigen. |
| | - Wenn Sie diesen Schritt auslassen, können User aus beliebigen Identity-Providern Anträge bei Ihnen einreichen! |
| | - Den Account insgesamt mittels "Save"-button abspeichern. |
| |
| Mit der Checkbox "Automatically Approve Requests" gibt es die Option, zu derart authentifizierten Anträge direkt das Zertifikat zu erstellen. Wir empfehlen, diese Einstellung nur nach reichlicher Überlegung zu treffen, da es nach unserem Kenntnisstand keine Möglichkeit gibt, die akzeptierten Nutzenden eines IdP einzuschränken. Hiermit kann dann jeder Nutzenden in Ihrem IdP jedes Serverzertifikat erstellen. Wenn Sie hier "Automatically Approve Requests" aktivieren, dann **müssen** Sie die unten beschriebene "URI Extension" als //eine Art Passwort zur automatischen Zertifikatausstellung// sehen, die entsprechend komplex ausfallen sollte. | Bitte keine fremden ''SSL self-enrollment forms'' löschen! |
| |
| Ist diese Checkbox nicht aktiviert, müssen die Anträge von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. | Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! |
| |
| Über die "URI Extension" wird eine einrichtungsspezifische URL angelegt, über die die Beantragung möglich ist. Diese URI Extension können Sie selbst z.B. als "sprechenden" oder sehr zufälligen Passwort-artigen URI-Teil wählen. Der endgültige Beantragungs-Link bildet sich nach dem Muster ''https://cert-manager.com/customer/DFN/idp/ssl/<URI-EXTENSION>/select'' also z.B. ''https://cert-manager.com/customer/DFN/idp/ssl/Uni-Musterstadt-Server-Zertifikat-Antrag-SAML/select'' oder ''https://cert-manager.com/customer/DFN/idp/ssl/WO4BkhxlFtNCN4toQxcXWB/select''. | Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/sslsaml eingereicht werden. |
| |
| Über die optionalen "Hilfe"-Einstellungen können Sie auf eigene Info- bzw. Anleitungs-Web-Seiten Ihrer Einrichtung verweisen, auf denen Sie Ihre lokalen Prozesse zur Beantragung von Serverzertifikaten über TCS mittels DFN-AAI-Login (SAML) beschreiben. | Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. |
| |
| |
| Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. | Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. |
| |
| Access Codes werden von einem RAO unter ☰->Enrollment->Enrollment Forms-><Auswahl "SSL Web Form"> mit dem Button "Accounts" erstellt. | - Im SCM unter ☰->Enrollment->Enrollment Forms |
| | - das Enrollment Form mit dem Namen ''DFN-wide SSL Web Form'' durch Blättern oder Filtern suchen und auswählen; |
| | - oben auf "Accounts" klicken. |
| | - Im daraufhin geöffneten Popup-Fenster über mit dem grünen "+"-Button einen neuen Enrollment-Form-Account hinzufügen. |
| | - Einen sprechenden Namen für den Account vergeben, der auf Ihre Einrichtung hindeutet. |
| | - Als "Organization" Ihre Einrichtung aus der Drop-Down-Liste auswählen (und ggf. auch ein Department setzen). |
| | - Bei den Zertifikatprofilen über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil auswhlen |
| | - meist "OV Multi-Domain" |
| | - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. |
| | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf für einige Anwendungen inkompatible Schl+ssel und ist nicht für Apache oder ninx geeignet. |
| | - "Automatically Approve Request" **auf keinen Fall** anwählen. |
| | - Als "Authorization Method" den Wert "Access Code" auswählen. |
| | - Einen Access Code eintragen |
| | - Den Account mittels "Save"-button abspeichern. |
| |
| **Bitte verwenden Sie nicht den Button Edit**. Mit diesem Button können Hilfetexte und -links gesetzt werden, die sich **global** auf alle anderen Einrichtungen im gesamten DFN-Mandanten auswirken. | Bitte keine fremden ''SSL self-enrollment forms'' löschen! |
| |
| **Bei Accounts für SSL Web Forms setzen Sie bitte auf keinen Fall die Checkbox "Automatically Approve Requests"**. Genehmigen Sie eingehende Requests immer manuell nach Prüfung über out-of-band-Methoden (z.B. eine informelle E-Mail). | Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! |
| |
| Die URL ist für alle Web-Formulare aller Einrichtungen im DFN-Mandanten von TCS zur Beantragung von Serverzertifikaten identisch: https://cert-manager.com/customer/DFN/ssl | Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/ eingereicht werden. Antragstellende werden zunächst durch eine E-Mail-Challenge geführt, mit der ihre E-Mail-Adresse verifiziert wird. Anschließend müssen sie den Access Code präsentieren, um dann mit den Parametern des hier angelegten Accounts Zertifikate beantragen zu können. |
| |
| Erst der Access Code sorgt für die Zuordnung eines Antrags zu Ihrer Einrichtung. | Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. |
| |
| ===ACME=== | ===ACME=== |